Trojan/DOS.CMOSKiller早在2006年就已经出现。它属于特洛伊木马，是一类以严重侵害运行系统的可用性、完整性、保密性为目的，或运行后能达到同类效果的恶意代码。该特洛伊木马关联样本是DOS平台下的BIN文件，主要采用命令行对系统或数据等发起攻击。目前Trojan/DOS.CMOSKiller存在可执行文件、压缩文件等至少4种格式的样本，可执行文件占绝大部分。除安天外，基于样本的命名对比分析，当前至少3个安全厂商对其进行命名，安全厂商对其行为分析较为清晰，检测的方式基本一致，对该特洛伊木马形成相同命名。
病毒行为
修改CMOS中的配置信息，例如改变计算机启动顺序或禁用关键设备。
破坏CMOS芯片中的数据，导致计算机的硬件出现故障。
干扰计算机的电源管理功能，导致系统频繁重启或无法正常关机。
劫持计算机的实时钟，改变时间和日期，给用户的使用带来困扰。
注入恶意代码到CMOS中，以实现持久性感染和对抗杀软软件。
通过修改CMOS中的BIOS设置，限制用户对计算机的使用权限。
样本格式分布
格式类别 占比 格式描述
BinExecute 47.06% 用于执行二进制文件的工具或实用程序
Archive 29.41% 将文件或数据进行压缩和存储
Generic 17.65% 不能确定具体类型的文件
Text 5.88% 纯文字内容的文件
其他厂商命名
厂商 命名
Microsoft Trojan:DOS/Cmoskiller.D
Kaspersky Trojan.DOS.CMOSKiller.d
ESET-NOD32 CmosKiller.D
典型变种
Trojan/DOS.CMOSKiller.e
Trojan/DOS.CMOSKiller.c
Trojan/DOS.CMOSKiller.b
Trojan/DOS.CMOSKiller.d
Trojan/DOS.CMOSKiller.a
典型样本
类型 值
MD5 6c2955ba4955e37f8bc04bff793f7f32
MD5 4b54684426be18dc62c9ba97066249ed
MD5 8b401088974dc51c0a9529c75ccae27d
MD5 72b55b61d2467bde876eaa7981135be3
MD5 aa4d8430a0470ae2e0db16f021770a19
解决方案
使用安全防护软件对计算机进行全面扫描和清除，确保系统没有受到病毒感染。
及时更新操作系统和安全软件的补丁，以修复已知的漏洞和提高系统的安全性。
备份重要的数据和系统文件，以防止数据丢失和系统崩溃。
定期检查CMOS配置，确保其完整性和正确性。
使用可信任的硬件和软件供应商提供的工具，对CMOS进行修复和恢复。
提高安全意识，不随意下载和打开未知来源的文件，避免访问不安全的网站。